春山 征吾のくけー

https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています.

openssh

OpenSSH 7.2 がリリースされました

2016/02/29, OpenSSH 7.2 がリリースされました.

バグ修正が中心のリリースです. 互換性に影響がありえる変更として, いくつかの暗号方式がデフォルトで無効になっています.

http://www.openssh.com/txt/release-7.2

Future deprecation notice
=========================

将来の廃止する機能の告知

We plan on retiring more legacy cryptography in a near-future
release, specifically:

近い将来 さらなるレガシーな暗号を退役させる予定だ.

具体的には,

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

* 1024 ビットよりも小さいすべての RSA 鍵を拒否する
  (現在の最小値は 768 ビット)

This list reflects our current intentions, but please check the final
release notes for future releases.

このリストは現在の我々の意図を反映している. ただし,
将来のリリースでの最終的なリリースノートをチェックしてほしい

Potentially-incompatible changes
================================

非互換な可能性がある変更

This release disables a number of legacy cryptographic algorithms
by default in ssh:

このリリースでは ssh で多くのレガシーな暗号アルゴリズムを
デフォルトで無効にする.

 * Several ciphers blowfish-cbc, cast128-cbc, all arcfour variants
   and the rijndael-cbc aliases for AES.

   blowfish-cbc, cast128-cbc, arcfour のすべての変種
   AES の rijndael-cbc 別名.

 * MD5-based and truncated HMAC algorithms.

   MD5 ベースの HMAC アルゴリズム

These algorithms are already disabled by default in sshd.

以上のアルゴリズムは sshd では すでに無効になっている.

Changes since OpenSSH 7.1p2
===========================

OpenSSH 7.1p2 からの変更点

This is primarily a bugfix release.

これは主にバグ修正のリリースだ.

Security
--------

セキュリティ

 * ssh(1), sshd(8): remove unfinished and unused roaming code (was
   already forcibly disabled in OpenSSH 7.1p2).

   ssh(1), sshd(8): 完了しておらず利用されてなかった roaming のコード
   を削除する (OpenSSH 7.1p2 ですでに強制的に無効となっている)

 * ssh(1): eliminate fallback from untrusted X11 forwarding to
   trusted forwarding when the X server disables the SECURITY
   extension.

   ssh(1): X サーバが SECURITY 拡張を無効にしている場合に
   信頼されていない X11 転送を 信頼されている転送で
   代替するのを除去する.

 * ssh(1), sshd(8): increase the minimum modulus size supported for
   diffie-hellman-group-exchange to 2048 bits.

   ssh(1), sshd(8): diffie-hellman-group-exchange でサポートする
   最小のモジュラスのサイズを 2048 ビットに増加する.

 * sshd(8): pre-auth sandboxing is now enabled by default (previous
   releases enabled it for new installations via sshd_config).

   sshd(8): 認証前のサンドボックス化がデフォルトで有効になった
   (以前のリリースは, sshd_config を新規にインストールする際に
   有効にしていた).

New Features
------------

新機能

 * all: add support for RSA signatures using SHA-256/512 hash
   algorithms based on draft-rsa-dsa-sha2-256-03.txt and
   draft-ssh-ext-info-04.txt.

   すべて: draft-rsa-dsa-sha2-256-03.txt と draft-ssh-ext-info-04.txt
   に基づく SHA-256/512 を用いる RSA 署名のサポートを追加する

 * ssh(1): Add an AddKeysToAgent client option which can be set to
   'yes', 'no', 'ask', or 'confirm', and defaults to 'no'.  When
   enabled, a private key that is used during authentication will be
   added to ssh-agent if it is running (with confirmation enabled if
   set to 'confirm').

   ssh(1): AddKeysToAgent クライアント設定項目を追加する.
   'yes', 'no', 'ask', 'confirm' が設定でき デフォルトは 'no' だ.
   有効になると, ssh-agent が動いている場合に認証に用いられる秘密鍵が
   ssh-agent に追加される. 'confirm' の場合は確認が行なわれる.

 * sshd(8): add a new authorized_keys option "restrict" that includes
   all current and future key restrictions (no-*-forwarding, etc.).
   Also add permissive versions of the existing restrictions, e.g.
   "no-pty" -> "pty". This simplifies the task of setting up
   restricted keys and ensures they are maximally-restricted,
   regardless of any permissions we might implement in the future.

   sshd(8): authorized_keys のオプションに "restrict" を追加する.
   これは, (no-*-forwarding などの) 現在と将来のすべての制限を含む.
   さらに, 現在の制限の許可バージョンも追加する. つまり,
   "no-pty" -> "pty". これにより, 制限付きの鍵の設定のタスクが
   単純化し, 将来実装するすべての許可に関係なく
   鍵が最大に制限されていることを圃場できる.

 * ssh(1): add ssh_config CertificateFile option to explicitly list
   certificates. bz#2436

   ssh(1): ssh_config に 証明書を明示的に列挙する CertificateFile
   設定項目を追加する. bz#2436

 * ssh-keygen(1): allow ssh-keygen to change the key comment for all
   supported formats.

   ssh-keygen(1): すべてのサポートする形式について ssh-keygen が
   鍵のコメントを変更できるようにする

 * ssh-keygen(1): allow fingerprinting from standard input, e.g.
   "ssh-keygen -lf -"

   ssh-keygen(1): 標準入力からの指紋表示をできるようにする.
   つまり, "ssh-keygen -lf -"

 * ssh-keygen(1): allow fingerprinting multiple public keys in a
   file, e.g. "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

   ssh-keygen(1): ファイルに含まれる複数の公開鍵の指紋表示を
   できるようにする. つまり
   "ssh-keygen -lf ~/.ssh/authorized_keys" bz#1319

 * sshd(8): support "none" as an argument for sshd_config
   Foreground and ChrootDirectory. Useful inside Match blocks to
   override a global default. bz#2486

   sshd(8): sshd_config の Foreground と ChrootDirectory の引数に
   "none" をサポートする. グローバルなデフォルトを Match ブロックの中で
   上書きするのに有用. bz#2486

 * ssh-keygen(1): support multiple certificates (one per line) and
   reading from standard input (using "-f -") for "ssh-keygen -L"

   ssh-keygen(1): (行ごとに1つの)複数の証明書と, (using "-f -" を用いる)
   標準入力からの読み込みを "ssh-keygen -L" でサポートする

 * ssh-keyscan(1): add "ssh-keyscan -c ..." flag to allow fetching
   certificates instead of plain keys.

   ssh-keyscan(1): 生の鍵の変わりに証明書を取得する "ssh-keyscan -c ..."
   フラグを追加する

 * ssh(1): better handle anchored FQDNs (e.g. 'cvs.openbsd.org.') in
   hostname canonicalisation - treat them as already canonical and
   remove the trailing '.' before matching ssh_config.

   ssh(1): anchored (訳注: ここでは . が最後に着いているということ?)
   FQDN (例えば 'csv.openbsd.org.') をよりよく扱う.
   すでに正規化済みとして扱い,  ssh_config でマッチする前に 末尾の '.' を取り除く.

Bugfixes
--------

バグ修正

 * sftp(1): existing destination directories should not terminate
   recursive uploads (regression in openssh 6.8) bz#2528

   sftp(1): 送信先のディレクトリ存在しても再帰的なアップロードを
   終了させない (openssh 6.8 で導入された不具合) bz#2528

 * ssh(1), sshd(8): correctly send back SSH2_MSG_UNIMPLEMENTED
   replies to unexpected messages during key exchange. bz#2949

   ssh(1), sshd(8): 鍵交換で予期しないメッセージに対して
   正しく SSH2_MSG_UNIMPLEMENTED を送り返す.
   bz#2949

 * ssh(1): refuse attempts to set ConnectionAttempts=0, which does
   not make sense and would cause ssh to print an uninitialised stack
   variable. bz#2500

   ssh(1): ConnectionAttempts=0 を設定しようという試みを拒否する.
   これは 意味がないし, 初期化してないスタック変数を ssh に印字させよう
   とする. bz#2500

 * ssh(1): fix errors when attempting to connect to scoped IPv6
   addresses with hostname canonicalisation enabled.

   ssh(1): ホスト名の正規化が有効な場合に scoped IPv6 アドレスに
   接続しようとした場合のエラーを修正する

 * sshd_config(5): list a couple more options usable in Match blocks.
   bz#2489

   sshd_config(5): Match ブロックで利用可能ないくつかの設定項目を
   列挙(追加)する.

 * sshd(8): fix "PubkeyAcceptedKeyTypes +..." inside a Match block.

   Match ブロック内の "PubkeyAcceptedKeyTypes +..." を修正する

 * ssh(1): expand tilde characters in filenames passed to -i options
   before checking whether or not the identity file exists. Avoids
   confusion for cases where shell doesn't expand (e.g. "-i ~/file"
   vs. "-i~/file"). bz#2481

   ssh(1): -i オプションで, identity ファイルが存在するかどうかのチェック
   より前に ファイル名のチルダ文字を展開する. シェルが展開しない場合
   (つまり "-i ~/file" と "-i~/file") での混乱を避ける. bz#2481

 * ssh(1): do not prepend "exec" to the shell command run by "Match
   exec" in a config file, which could cause some commands to fail
   in certain environments. bz#2471

   ssh(1): コンフィグファイルで "Match exec" で走るシェルコマンドに
   exec を前に付けない. 特定の環境でコマンドが失敗する. bz#2471

 * ssh-keyscan(1): fix output for multiple hosts/addrs on one line
   when host hashing or a non standard port is in use bz#2479

   ssh-keyscan(1): ホストがハッシュされていたり標準でないポートが
   利用されている場合に, 一行での複数のホスト/アドレスの出力を修正
   bz#2479

 * sshd(8): skip "Could not chdir to home directory" message when
   ChrootDirectory is active. bz#2485

   sshd(8): ChrootDirectory が有効な場合に, 
   "Could not chdir to home directory" メッセージをスキップする.
   bz#2485

 * ssh(1): include PubkeyAcceptedKeyTypes in ssh -G config dump.

   ssh(1): PubkeyAcceptedKeyTypes を ssh -G config dump に含める.

 * sshd(8): avoid changing TunnelForwarding device flags if they are
   already what is needed; makes it possible to use tun/tap
   networking as non-root user if device permissions and interface
   flags are pre-established

   sshd(8): もし必要なものがすでにある場合にトンネル転送のデバイスの
   フラグの変更を避ける. デバイスのパーミッションとインターフェイス
   フラグがすでに確立している場合に, ルートでないユーザが
   tun/tap ネットワークを利用できるようにする.

 * ssh(1), sshd(8): RekeyLimits could be exceeded by one packet.
   bz#2521

   ssh(1), sshd(8): RekeyLimits が 1パケットで超過するようにする.
   bz#2521

 * ssh(1): fix multiplexing master failure to notice client exit.

   ssh(1): クライアントの終了を通知するため, 多重化マスターの
   失敗を修正する.

 * ssh(1), ssh-agent(1): avoid fatal() for PKCS11 tokens that present
   empty key IDs. bz#1773

   ssh(1), ssh-agent(1): 空の鍵の ID を持つ PKCS11 トークンで
   fatal() が起きるのを避ける.

 * sshd(8): avoid printf of NULL argument. bz#2535

   NULl 引数での printf を避ける. bz#2535

 * ssh(1), sshd(8): allow RekeyLimits larger than 4GB. bz#2521

   ssh(1), sshd(8): 4GB より大きい RekeyLimits を許可する. bz#2521

 * ssh-keygen(1): sshd(8): fix several bugs in (unused) KRL signature
   support.

   ssh-keygen(1): sshd(8): (利用していない) KRL 署名サポートの
   複数のバグを修正する.

 * ssh(1), sshd(8): fix connections with peers that use the key
   exchange guess feature of the protocol. bz#2515

   ssh(1), sshd(8): プロトコルの鍵交換推測機能を用いる相手との
   接続を修正する. bz#2515

 * sshd(8): include remote port number in log messages. bz#2503

   sshd(8): ログメッセージにリモートのポート番号を含める. bz#2503

 * ssh(1): don't try to load SSHv1 private key when compiled without
   SSHv1 support. bz#2505

   ssh(1): SSHv1 サポート抜きでコンパイルされた場合に,
   SSHv1 秘密鍵をロードしようとしない. bz#2505

 * ssh-agent(1), ssh(1): fix incorrect error messages during key
   loading and signing errors. bz#2507

   ssh-agent(1), ssh(1): 鍵のロードと署名のエラーでの不正確な
   エラーメッセージを修正する.

 * ssh-keygen(1): don't leave empty temporary files when performing
   known_hosts file edits when known_hosts doesn't exist.

   ssh-keygen(1): known_hosts ファイルが存在しない場合に
   known_hosts ファイルを編集する際に,
   空のテンポラリファイルを削除しない.

 * sshd(8): correct packet format for tcpip-forward replies for
   requests that don't allocate a port bz#2509

   sshd(8): ポートを割り当てていない tcpip-forward 要求への
   応答で パケット形式を修正する.

 * ssh(1), sshd(8): fix possible hang on closed output. bz#2469

   ssh(1), sshd(8): 閉じた出力でハングする場合があるのを修正する.
   bz#2469

 * ssh(1): expand %i in ControlPath to UID. bz#2449

   ssh(1): ControlPath で %i を UID に展開する. bz#2449

 * ssh(1), sshd(8): fix return type of openssh_RSA_verify. bz#2460

   ssh(1), sshd(8): openssh_RSA_verify の返り値の方を修正する. bz#2460

 * ssh(1), sshd(8): fix some option parsing memory leaks. bz#2182

   ssh(1), sshd(8): オプションのパースでのメモリリークを修正する.
   bz#2182

 * ssh(1): add a some debug output before DNS resolution; it's a
   place where ssh could previously silently stall in cases of
   unresponsive DNS servers. bz#2433

   ssh(1): DNS 解決の前にいくつかのデバッグ出力を追加する.
   DNS サーバが応答しない場合に 以前は ssh は 静かに 動かなくなる
   ことがあった場所だ.

 * ssh(1): remove spurious newline in visual hostkey. bz#2686

   ssh(1): バーチャルなホスト鍵中の偽の改行を削除する. bz#2686

 * ssh(1): fix printing (ssh -G ...) of HostKeyAlgorithms=+...

   ssh(1): HostKeyAlgorithms=+... のときの (ssh -G ...) の出力を
   修正する.

 * ssh(1): fix expansion of HostkeyAlgorithms=+...

   HostkeyAlgorithms=+... の展開を修正する.

Documentation
-------------

文書

 * ssh_config(5), sshd_config(5): update default algorithm lists to
   match current reality. bz#2527
   
   ssh_config(5), sshd_config(5): デフォルトのアルゴリズムのリストを
   現状に一致するよう更新する. bz#2527

 * ssh(1): mention -Q key-plain and -Q key-cert query options.
   bz#2455

   ssh(1): -Q key-plain と -Q key-cert について言及する.
   bz#2455

 * sshd_config(8): more clearly describe what AuthorizedKeysFile=none
   does.

   sshd_config(8): AuthorizedKeysFile=none がなにを行なうかについて
   より明確に記述する.

 * ssh_config(5): better document ExitOnForwardFailure. bz#2444

   ssh_config(5): ExitOnForwardFailure についての記述を改善.
   bz#2444

 * sshd(5): mention internal DH-GEX fallback groups in manual.
   bz#2302

   sshd(5): 手動での 内部 DH-GEX フォールバックグループ について
   記述する.

 * sshd_config(5): better description for MaxSessions option.
   bz#2531

   sshd_config(5): MaxSessions 設定項目の記述を改善.
   bz#2531

Portability
-----------

移植性

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Support Illumos/
   Solaris fine-grained privileges. Including a pre-auth privsep
   sandbox and several pledge() emulations. bz#2511

 * ssh(1), sftp-server(8), ssh-agent(1), sshd(8): Illumos/ Solaris
   fine-grained privileges をサポートする. 認証前特権分離の
   sandbox と 複数の pledge() エミュレーションを含んでいる.
   bz#2511

 * Renovate redhat/openssh.spec, removing deprecated options and
   syntax.

   非推奨のオプションや文法を削除して redhat/openssh.spec を刷新する.

 * configure: allow --without-ssl-engine with --without-openssl

   configure: --without-openssl と --without-ssl-engine が共存できる

 * sshd(8): fix multiple authentication using S/Key. bz#2502

   sshd(8): S/Key を用いる複数認証を修正する. bz#2502

 * sshd(8): read back from libcrypto RAND_* before dropping
   privileges.  Avoids sandboxing violations with BoringSSL.

   sshd(8): 特権を落す前に libcrypto の RAND_* から
   読み直す. BoringSSL を利用する場合に サンドボックスの
   破壊を回避する.

 * Fix name collision with system-provided glob(3) functions.
   bz#2463

   system が提供する glob(3) 関数の名前衝突を修正する.
   bz#2463

 * Adapt Makefile to use ssh-keygen -A when generating host keys.
   bz#2459

   ホスト鍵作成の際に ssh-keygen -A を用いるように Makefile を
   変更する. bz#2459

 * configure: correct default value for --with-ssh1 bz#2457

   configure: --with-ssh1 のデフォルト値を修正する. bz#2457

 * configure: better detection of _res symbol bz#2259

   configure: _res シンボルの検出を改善 bz#2259

 * support getrandom() syscall on Linux

   Linux の getrandom() システムコールをサポート

OpenSSH 6.9/6.9p1 がリリースされました.

2015/07/01, OpenSSH 6.9/6.9p1 がリリースされました.

なお, OpenSSH 7.0 では多くの互換性のない変更が予定されています.

http://www.openssh.com/txt/release-6.9

Future Deprecation Notice
=========================

将来廃止予定の機能の注意

The 7.0 release of OpenSSH, due for release in late July, will
deprecate several features, some of which may affect compatibility
or existing configurations. The intended changes are as follows:

7月後半にリリース予定の OpenSSH 7.0 では, いくつかの機能が
廃止される. いくつかは互換性や既存の設定に影響する.
予定している変更は以下の通り:

 * The default for the sshd_config(5) PermitRootLogin option will
   change from "yes" to "no".

   sshd_config(5) の PermitRootLogin 設定項目のデフォルトが
   "yes" から "no" に変わる.

 * Support for the legacy version 1.x of the SSH protocol will be
   disabled at compile time by default.

   レガシーなSSH プロトコル 1.x のサポートが, デフォルトで
   コンパイル時に無効になる.

 * Support for the 1024-bit diffie-hellman-group1-sha1 key exchange
   will be run-time disabled by default.

   1024 ビットの diffie-hellman-group1-sha1 鍵交換法のサポートが
   デフォルトでランタイム時で無効になる.

 * Support for ssh-dss, ssh-dss-cert-* host and user keys will be
   run-time disabled by default.

   ssh-dss, ssh-dss-cert-* ホスト/ユーザ鍵のサポートが
   デフォルトでランタイム時に無効になる.

 * Support for the legacy v00 cert format will be removed

   レガシーな v00 証明書形式のサポートが除去される

 * Several ciphers will be disabled by default: blowfish-cbc,
   cast128-cbc, all arcfour variants and the rijndael-cbc aliases
   for AES

   いくつかの暗号がデフォルトで無効になる: blowfish-cbc,
   cast128-cbc, arcfour のすべての種類, AES の rijndael-cbc エイリアス.

   訳注: 残るのは 3des-cbc, aes*-ctr aes*-gcm@openssh.com, chacha20-*
   の模様

 * Refusing all RSA keys smaller than 1024 bits (the current minimum
   is 768 bits)

   1024 ビットよりも小さい全ての RSA 鍵を拒否する
   (現在の最小値は 768ビット)

This list reflects our current intentions, but please check the final
release notes for OpenSSH 7.0 when it is released.

このリストは我々の現在の意図を反映している. リリース時に OpenSSH 7.0の
最終的なリリースノートを確認してほしい.

Changes since OpenSSH 6.8
=========================

OpenSSH 6.8 からの変更点

This is primarily a bugfix release.

主にバグ修正のリリースだ

Security
--------

セキュリティ

 * ssh(1): when forwarding X11 connections with ForwardX11Trusted=no,
   connections made after ForwardX11Timeout expired could be permitted
   and no longer subject to XSECURITY restrictions because of an
   ineffective timeout check in ssh(1) coupled with "fail open"
   behaviour in the X11 server when clients attempted connections with
   expired credentials. This problem was reported by Jann Horn.

   ssh(1): ForwardX11Trusted=no で X11 接続を転送する際,
   ForwardX11Timeout が経過した後で作られた接続が許可され,
   XSECURITY 制限がもやは効かないことがある.
   期限切れの認証情報をクライアントが接続を試みた場合に
   X11 サーバの "fail open" の振舞いに関係する
   ssh(1) での タイムアウトのチェックが無効になっていたため.
   この問題は Jann Horn によって報告された.

 * ssh-agent(1): fix weakness of agent locking (ssh-add -x) to
   password guessing by implementing an increasing failure delay,
   storing a salted hash of the password rather than the password
   itself and using a timing-safe comparison function for verifying
   unlock attempts. This problem was reported by Ryan Castellucci.

   ssh-agent(1): agent のロック (ssh-add -x) の
   増加する失敗時の遅延を実装したことによるパスワードを推測される
   弱点を修正する. パスワード自体を保存するよりもパスワードの
   ソルト付きハッシュを保存したほうがよく, 解除の検証でタイミング安全な
   比較関数を使うようにした.
   この問題は Ryan Castellucci によって報告された.


New Features
------------

新機能

 * ssh(1), sshd(8): promote chacha20-poly1305@openssh.com to be the
   default cipher

   ssh(1): sshd(8): chacha20-poly1305@openssh.com をデフォルトの暗号に
   昇格する

 * sshd(8): support admin-specified arguments to AuthorizedKeysCommand;
   bz#2081

   sshd(8): AuthorizedKeysCommand に管理者が指定する引数をサポートする;
   bz#2081

 * sshd(8): add AuthorizedPrincipalsCommand that allows retrieving
   authorized principals information from a subprocess rather than
   a file.

   sshd(8): AuthorizedPrincipalsCommand を追加する. これは,
   ファイルからではなくサブプロセスから認証されたユーザの情報を
   取得する.

 * ssh(1), ssh-add(1): support PKCS#11 devices with external PIN
   entry devices bz#2240

   ssh(1), ssh-add(1): 外部 PIN エントリーデバイス付きの
   PKCS#11 デバイスをサポートする. bz#2240

 * sshd(8): allow GSSAPI host credential check to be relaxed for
   multihomed hosts via GSSAPIStrictAcceptorCheck option; bz#928

   sshd(8): GSSAPIStrictAcceptorCheck 設定項目で, 複数のホームがある
   ホストに対する GSSAPI ホスト認証情報チェックを緩和できる.

 * ssh-keygen(1): support "ssh-keygen -lF hostname" to search
   known_hosts and print key hashes rather than full keys.

   ssh-keygen(1):  ssh-keygen -lF hostname" によって known_hosts を検索して
   完全な鍵でなくハッシュを表示する機能をサポートする.

 * ssh-agent(1): add -D flag to leave ssh-agent in foreground without
   enabling debug mode; bz#2381

   ssh-agent(1): -D フラブを追加する. デバッグモードを有効にすることなく
   ssh-agent をフォアグラウンドから離れさせる; bz#2381

Bugfixes
--------

バグ修正

 * ssh(1), sshd(8): deprecate legacy SSH2_MSG_KEX_DH_GEX_REQUEST_OLD
   message and do not try to use it against some 3rd-party SSH
   implementations that use it (older PuTTY, WinSCP).

   ssh(1), sshd(8): レガシーな SSH2_MSG_KEX_DH_GEX_REQUEST_OLD を
   廃止し, この鍵交換法を用いる サードパーティのSSH実装 (古い PuTTY や WinSCP)
   に対してこの鍵交換法を用いないようにする.

 * Many fixes for problems caused by compile-time deactivation of
   SSH1 support (including bz#2369)

   SSH1 サポートをコンパイル時に無効にすることから生じる
   問題に対する多くの修正 (bz#2369 を含む)

 * ssh(1), sshd(8): cap DH-GEX group size at 4Kbits for Cisco
   implementations as some would fail when attempting to use group
   sizes >4K; bz#2209

   ssh(1), sshd(8): DH-GEX の群のサイズを 4Kビトに制限する.
   4Kより大きな群のサイズを用いようとすると失敗する Cisco の実装のため;
   bz#2209

 * ssh(1): fix out-of-bound read in EscapeChar configuration option
   parsing; bz#2396

   ssh(1): EscapeChar 設定項目のパースでの境界を越える読み取りを修正;
   bz#2396

 * sshd(8): fix application of PermitTunnel, LoginGraceTime,
   AuthenticationMethods and StreamLocalBindMask options in Match
   blocks

   sshd(8): Match ブロックでの PermitTunnel, LoginGraceTime,
   AuthenticationMethods, StreamLocalBindMask 設定項目の
   適用を修正.

 * ssh(1), sshd(8): improve disconnection message on TCP reset;
   bz#2257

   ssh(1), sshd(8): TCP リセット時の切断メッセージを改善; bz#2257

 * ssh(1): remove failed remote forwards established by muliplexing
   from the list of active forwards; bz#2363

   ssh(1): 有効な転送のリストから
   多重化により確立した失敗したリモート転送の削除; bz#2363

 * sshd(8): make parsing of authorized_keys "environment=" options
   independent of PermitUserEnv being enabled; bz#2329

   sshd(8): PermitUserEnv の有効無効に関係なく
   authorized_keys の "environment=" オプションをパースする; bz#2329

 * sshd(8): fix post-auth crash with permitopen=none; bz#2355

   sshd(8): permitopen=none 時の認証後のクラッシュを修正; bz#2355

 * ssh(1), ssh-add(1), ssh-keygen(1): allow new-format private keys
   to be encrypted with AEAD ciphers; bz#2366

   ssh(1), ssh-add(1), ssh-keygen(1): AEAD 暗号で暗号化される
   新しい形式の秘密鍵をサポート; bz#2366

 * ssh(1): allow ListenAddress, Port and AddressFamily configuration
   options to appear in any order; bz#86

   ssh(1): ListenAddress, Port, AddressFamily 設定項目がどの
   順序で並んでもよいようになる; bz#68

 * sshd(8): check for and reject missing arguments for VersionAddendum
   and ForceCommand; bz#2281

   sshd(8): VersionAddendum と ForceCommand で引数がない場合をチェックし,
   その場合は拒否する; bz#2281

 * ssh(1), sshd(8): don't treat unknown certificate extensions as
   fatal; bz#2387

   ssh(1), sshd(8): 知らない証明書拡張を致命的エラーとして扱わない; bz#2387

 * ssh-keygen(1): make stdout and stderr output consistent; bz#2325

   ssh-keygen(1): stdout と stderr の出力を一貫させる; bz#2325

 * ssh(1): mention missing DISPLAY environment in debug log when X11
   forwarding requested; bz#1682

   ssh(1): デバッグモードで, X11 転送が要求された場合に DISPLAY 環境変数がなければ
   通知する; bz#1682

 * sshd(8): correctly record login when UseLogin is set; bz#378

   sshd(8): UseLogin が設定されている場合に ログイン記録を正しく付ける; bz#378

 * sshd(8): Add some missing options to sshd -T output and fix output
   of VersionAddendum and HostCertificate. bz#2346

   sshd(8): sshd -T 出力に書けていた設定項目を追加し,
   VersionAddendum と HostCertificate の出力を修正する. bz#2346

 * Document and improve consistency of options that accept a "none"
   argument" TrustedUserCAKeys, RevokedKeys (bz#2382),
   AuthorizedPrincipalsFile (bz#2288)

   "none" 引数を受け入れる設定項目の記述を追加し一貫性を向上する.
   TrustedUserCAKeys, RevokedKeys (bz#2382), AuthorizedPrincipalsFile (bz#2288)

 * ssh(1): include remote username in debug output; bz#2368

   ssh(1): デバッグ時の出力にリモートのユーザ名を含める; bz#2368

 * sshd(8): avoid compatibility problem with some versions of Tera
   Term, which would crash when they received the hostkeys notification
   message (hostkeys-00@openssh.com)

   sshd(8): Tera Term のいくつかのバージョンとの互換性の問題を回避する.
   これらのバージョンは, ホスト鍵通知メッセージ (hostkeys-00@openssh.com)
   を受けとるとクラッシュする

 * sshd(8): mention ssh-keygen -E as useful when comparing legacy MD5
   host key fingerprints; bz#2332

   sshd(8): レガシーな MD5 ホスト鍵の指紋を比較する際に
   ssh-keygen -E が利用可能だと記述する; bz#2332

 * ssh(1): clarify pseudo-terminal request behaviour and use make
   manual language consistent; bz#1716

   ssh(1): 疑似ターミナルの要求の振舞いを明確化し, マニュアルの言語と
   一貫させる; bz#1716

 * ssh(1): document that the TERM environment variable is not subject
   to SendEnv and AcceptEnv; bz#2386

   ssh(1): TERM 環境変数は, SendEnv と AcceptEnv の影響下にないことを
   記述する; bz#2386

Portable OpenSSH
----------------

移植版 OpenSSH

 * sshd(8): Format UsePAM setting when using sshd -T, part of bz#2346

   sshd(8): sshd -T を用いたときの UsePAM 設定のフォーマット, 
   bz#2346 の一部

 * Look for '${host}-ar' before 'ar', making cross-compilation easier;
   bz#2352.

   'ar' より前に '${host}-ar' を探して, クロスコンパイルを容易にする;
   bz#2352.

 * Several portable compilation fixes: bz#2402, bz#2337, bz#2370

   移植版のコンパイルのいくつかの修正: bz#2402, bz#2337, bz#2370

 * moduli(5): update DH-GEX moduli

   muduli(5): DH-GEX moduli の更新

OpenSSH 6.8 リリース準備中 Call for testing: OpenSSH-6.8

OpenSSH 6.8 がリリース準備中です.

変更点を適当に訳しました. 余裕があったら夜に見直して修正します.

Changes since OpenSSH 6.7
=========================

OpenSSH 6.7 からの変更点

This is a major release, containing a number of new features as
well as a large internal re-factoring.

多くの新機能と大きな内部リファクタリングを含む, 大規模なリリースだ.

Potentially-incompatible changes
--------------------------------

互換性が失なわれるかもしれない変更

 * sshd(8): UseDNS now defaults to 'no'. Configurations that match
   against the client host name (via sshd_config or authorized_keys)
   may need to re-enable it or convert to matching against addresses.

 * sshd(8): UseDNS はデフォルトで 'no' になる.
   (sshd_config や authorized_keys のよる)クライアントホスト名
   に対するマッチの設定は, UseDNS を再度有効にするか, アドレスに対して
   マッチするよう変更する必要があるかもしれない.

New Features
------------

新機能

 * Much of OpenSSH's internal code has been re-factored to be more
   library-like. These changes are mostly not user-visible, but
   have greatly improved OpenSSH's testability and internal layout.

   OpenSSH の内部コードの多くを, よりライブラリ風にリファクタリングした.
   これらの変更は, ほとんどユーザから見えないが, OpenSSH のテスト可能性と
   内部のレイアウトが非常に改善された.

 * Add FingerprintHash option to ssh(1) and sshd(8), and equivalent
   command-line flags to the other tools to control algorithm used
   for key fingerprints. The default changes from MD5 to SHA256 and
   format from hex to base64.

   FingerprintHash オプションを ssh(1) と sshd(8) に追加する. また,
   鍵の指紋のために使われるアルゴリズムを制御する他のツールに
   同様の指定をするコマンドラインフラグも追加する. デフォルトが
   MD5 から SHA256 に, 形式が hex から base64 になる.

   Fingerprints now have the hash algorithm prepended. An example of
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   Please note that visual host keys will also be different.

   指紋は, ハッシュアルゴリズムが前に付く形式になる. 新しい形式の例:
   the new format: SHA256:mVPwvezndPv/ARoIadVY98vAC0g+P/5633yTC4d/wXE
   ホスト鍵を可視化した際も異なることに注意.

 * ssh(1), sshd(8): Host key rotation support. Add a protocol
   extension for a server to inform a client of all its available
   host keys after authentication has completed. The client may
   record the keys in known_hosts, allowing it to upgrade to better
   host key algorithms and a server to gracefully rotate its keys.

   ssh(1), sshd(8): ホスト鍵のローテーションをサポート. 
   (ホスト)認証が完了した後でサーバがクライアントに利用可能なホスト鍵の
   すべてを通知するためのプロトコル拡張を追加する. クライアントは
   known_host に鍵を記録できる. これにより, クライアントが
   よりよいホスト鍵アルゴリズムへの更新をしたり,
   サーバがホスト鍵を graceful にローテートできるようになる.

   The client side of this is controlled by a UpdateHostkeys config
   option (default on).

   クライアント側での動作は, 
   UpdateHostkeys 設定項目(デフォルト有効) で制御できる.

訳中: OpenSSH、次期「OpenSSH 6.8」で「Ed25519オートコレクトキー」をサポート | スラッシュドット・ジャパン セキュリティ - http://security.slashdot.jp/story/15/02/04/101203/

 * ssh(1): Add a ssh_config HostbasedKeyType option to control which
   host public key types are tried during host-based authentication.

   ssh(1): ssh_config に HostbasedKeyType 設定項目を追加する.
   ホストベース認証の際に試すホスト公開鍵の種類を制御する

 * ssh(1), sshd(8): fix connection-killing host key mismatch errors
   when sshd offers multiple ECDSA keys of different lengths.

   ssh(1), sshd(8): 異なる長さの複数の ECDSA 鍵を sshd が提供する
   場合の, 接続を切るホスト鍵不一致エラーを修正する.

 * ssh(1): when host name canonicalisation is enabled, try to
   parse host names as addresses before looking them up for
   canonicalisation. fixes bz#2074 and avoiding needless DNS
   lookups in some cases.

   ssh(1): ホスト名の正規化が有効な場合, 正規化のためにホスト名を
   検査うする前にホスト名をアドレスとしてパースできるか試す.
   bz#2074 を修正し, いくつかの場合で不必要な DNS の検索を避けるため.

 * ssh-keygen(1), sshd(8): Key Revocation Lists (KRLs) no longer
   require OpenSSH to be compiled with OpenSSL support.

   ssh-keygen(1), sshd(8): 鍵失効リスト(KRLs) は, OpenSSL サポート付きで
   コンパイルされた OpenSSH には必要なくなった.

 * ssh(1), ssh-keysign(8): Make ed25519 keys work for host based
   authentication.

   ssh(1), ssh-keysign(8): ed25519 鍵がホストベース認証で動作する.

 * sshd(8): SSH protocol v.1 workaround for the Meyer, et al,
   Bleichenbacher Side Channel Attack. Fake up a bignum key before
   RSA decryption.

   sshd(8): Meyer, et al の Bleichenbacher サイトチャンネル攻撃
   に対する SSH プロトコル v.1 の緩和策を追加. RSA の復号の前に
   大きな数の鍵をでっちあげる.

 * sshd(8): Remember which public keys have been used for
   authentication and refuse to accept previously-used keys.
   This allows AuthenticationMethods=publickey,publickey to require
   that users authenticate using two _different_ public keys.

   sshd(8): 認証に利用した公開鍵を記録し, 先に利用された鍵の利用を拒否する.
   これにより, AuthenticationMethods=publickey,publickey という設定で,
   2つの*異なる* 公開鍵を利用するようにユーザに要求できる.

 * sshd(8): add sshd_config HostbasedAcceptedKeyTypes and
   PubkeyAcceptedKeyTypes options to allow sshd to control what
   public key types will be accepted. Currently defaults to all.

   sshd(8): sshd_config の HostbasedAcceptedKeyTypes と PubkeyAcceptedKeyTypes
   設定項目を追加する. 受けつける公開鍵の種類を sshd が制御できる.
   現在のデフォルトは all.

 * sshd(8): Don't count partial authentication success as a failure
   against MaxAuthTries.

   sshd(8): 部分的な認証の成功を MaxAuthTries での失敗にカウントしない.

 * ssh(1): Add RevokedHostKeys option for the client to allow
   text-file or KRL-based revocation of host keys.

   ssh(1): RevokedHostKeys 設定項目を追加する. クライアントが
   ホスト鍵の テキストファイルや KRLベースの失効を行なえるようになる.

 * ssh-keygen(1), sshd(8): Permit KRLs that revoke certificates by
   serial number or key ID without scoping to a particular CA.

   ssh-keygen(1), sshd(8): KRL で, 特定の CA を詳しく調べることなしに
   シリアル番号や鍵IDで証明書を失効できるようにする.

 * ssh(1): Add a "Match canonical" criteria that allows ssh_config
   Match blocks to trigger only in the second config pass.

   ssh(1): "Match canonical" 条件を追加する. ssh_config の Match
   ブロックで, 2回目の(ホスト名の正規化の後の)
   設定のパースのパスでのみ有効になる.

 * ssh(1): Add a -G option to ssh that causes it to parse its
   configuration and dump the result to stdout, similar to "sshd -T".

   ssh(1): -G オプションを追加, "sshd -T" と同様に,
   設定をパースし結果を標準出力にダンプする.

 * ssh(1): Allow Match criteria to be negated. E.g. "Match !host".

   ssh(1): Match の条件に否定を許す. 例えば "Match !host"

 * The regression test suite has been extended to cover more OpenSSH
   features. The unit tests have been expanded and now cover key
   exchange.

   回帰テストスートが, より広範囲のOpenSSHの機能をカバーするよう拡張
   された. ユニットテストは拡張され, 鍵効果もカバーする

Bugfixes
--------

 * ssh-keyscan(1): ssh-keyscan has been made much more robust again
   servers that hang or violate the SSH protocol.

   ssh-keyscan(1): ssh-keyscan は ハングしたり SSH プロトコルを破っている
   サーバに対してより強固になった.

 * ssh(1), ssh-keygen(1): Fix regression bz#2306: Key path names were
   being lost as comment fields.

   ssh(1), ssh-keygen(1): bz#2306 の再発を修正. 鍵のパス名が
   コメントフィールドのように失なわれていた.

 * ssh(1): Allow ssh_config Port options set in the second config
   parse phase to be applied (they were being ignored). bz#2286

   ssh(1): ssh_config の Port 設定項目が, 2回目の設定のパースの
   段階でも有効になる(いままでは無視されていた). bz#2286

 * ssh(1): Tweak config re-parsing with host canonicalisation - make
   the second pass through the config files always run when host name
   canonicalisation is enabled (and not whenever the host name
   changes) bz#2267

   ssh(1): ホスト正規化の後で設定をもう1度パースするように調整した.
   ホスト名の正規化が有効で(ホスト名が変わらない場合)に 設定ファイルの
   パースの2回目のパスが常に走る.

 * ssh(1): Fix passing of wildcard forward bind addresses when
   connection multiplexing is in use; bz#2324;

   ssh(1): 接続の多重化を利用している場合の ワイルドカードが先に付く
   バインドアドレスのパースを修正する. bz#2324

 * ssh-keygen(1): Fix broken private key conversion from non-OpenSSH
   formats; bz#2345.

   ssh-keygen OpenSSH ではない形式からの壊れた秘密鍵変換を修正. bz#2345

 * ssh-keygen(1): Fix KRL generation bug when multiple CAs are in
   use.

   ssh-keygen(1): 複数の CA を利用している場合の KRL 生成バグを修正.

 * Various fixed to manual pages: bz#2288, bz#2316, bz#2273

   マニュアルページの多数の修正: bz#2288, bz#2316, bz#2273

Portable OpenSSH
----------------

移植版 OpenSSH

 * Support --without-openssl at configure time

   configure 時の --without-openssl をサポート

   Disables and removes dependency on OpenSSL. Many features,
   including SSH protocol 1 are not supported and the set of crypto
   options is greatly restricted. This will only work on system with
   native arc4random or /dev/urandom.

   OpenSSL への依存を無効化し削除する. SSH プロトコル1を含む多くの特徴
   がサポートされなくなり, 暗号のオプションが非常に制限される.
   システムが ネイティブな arc4random か /dev/urandom を持っている
   場合にのみ動作する.

   Considered highly experimental for now.

   現在非常に実験的だと考えられる.

 * Support --without-ssh1 option at configure time

   configure 時の --without-ssh1 をサポート

   Allows disabling support for SSH protocol 1.

   SSH プロトコル 1 のサポートを無効にできる.

   Still experimental - not all regression and unit tests have been
   been adapted for the absence of SSH protocol 1.

   まだ実験的 - SSH プロトコル 1 がない場合に対して,
   すべての回帰/ユニットテストが順応しているわけではない.

 * sshd(8): Fix compilation on systems with IPv6 support in utmpx; bz#2296

   sshd(8): utmpx で IPv6 サポートを持つシステムでのコンパイルを修正; bz#2296

 * Allow custom service name for sshd on Cygwin. Permits the use of
   multiple sshd running with different service names.

   Cygwin の sshd でカスタムサービス名を許す. 異なるサービス名で
   複数の sshd を利用できるようになる.

OpenSSH 6.6/6.6p1 がリリースされました.

2014/03/16, OpenSSH 6.6/6.6p1 がリリースされました.

http://www.openssh.org/txt/release-6.6

Changes since OpenSSH 6.5
=========================

OpenSSH 6.5 からの変更点

This is primarily a bugfix release.

主としてバグ修正のリリース.

Security:

セキュリティ:

 * sshd(8): when using environment passing with a sshd_config(5)
   AcceptEnv pattern with a wildcard. OpenSSH prior to 6.6 could be
   tricked into accepting any enviornment variable that contains the
   characters before the wildcard character.

 * sshd(8): sshd_config(5) の AcceptEnv のパターンでワイルドカードを用いて
   環境変数を受け渡しを行なっている場合, OpenSSH 6.6 より前では, 
   ワイルドカード文字より前の文字列に含まれる任意の環境変数を受けいれるように
   だまされる可能性があった.

New / changed features:

新しい / 変更された特徴:

 * ssh(1), sshd(8): this release removes the J-PAKE authentication code.
   This code was experimental, never enabled and had been unmaintained
   for some time.

   ssh(1), sshd(8): このリリースで J-PAKE 認証コードを削除する.
   このコードは実験的でかつけっして有効になることはなく,
   しばらくの間管理されてなかった.

   訳注: この機能について CVE-2014-1692
   https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1692
   が出たが, configure で有効にするできないくらいの
   実験的なコードなので, 面倒がないように消すということだと思われる)

 * ssh(1): when processing Match blocks, skip 'exec' clauses other clauses
   predicates failed to match.

   ssh(1): Match ブロックを処理する場合に, 他の節の述語がマッチに失敗したら
   'exec' 節をスキップする. (訳注: other の前に if が抜けていると思われる)

 * ssh(1): if hostname canonicalisation is enabled and results in the
   destination hostname being changed, then re-parse ssh_config(5) files
   using the new destination hostname. This gives 'Host' and 'Match'
   directives that use the expanded hostname a chance to be applied.

   ssh(1): ホスト名の正規化が有効で接続先ホスト名が結果として変わる場合,
   新しい接続先ホスト名を使って ssh_config(5) ファイルを再度パースする.
   これにより, 正規化されたホスト名を用いている 'Host' と 'Match' 設定項目が
   適用されるようになる.

Bugfixes:

バグ修正:

 * ssh(1): avoid spurious "getsockname failed: Bad file descriptor" in
   ssh -W. bz#2200, debian#738692

   ssh(1): ssh -W での誤った "getsockname failed: Bad file descriptor"
   を回避する. bz#2200, debian#738692

 * sshd(8): allow the shutdown(2) syscall in seccomp-bpf and systrace
   sandbox modes, as it is reachable if the connection is terminated
   during the pre-auth phase.

   sshd(8): seccomp-bpf と systrace サンドボックスモードで shutdown(2)
   システムコールを許可する. 認証前のフェイズで接続が終了した場合に,
   このシステムコールが呼ばれることがあるので.

 * ssh(1), sshd(8): fix unsigned overflow that in SSH protocol 1 bignum
   parsing. Minimum key length checks render this bug unexploitable to
   compromise SSH 1 sessions.

   ssh(1), sshd(8): SSH プロトコル 1 の bignum のパース時の
   符号無し整数のオーバフローを修正する. 最小の鍵長のチェックにより
   このバグを使って SSH 1 のセッションを侵害するのに利用できない.

 * sshd_config(5): clarify behaviour of a keyword that appears in
   multiple matching Match blocks. bz#2184

   sshd_config(5): 複数マッチする Match ブロックがある キーワードの
   振舞いを明確にする. bz#2184

 * ssh(1): avoid unnecessary hostname lookups when canonicalisation is
   disabled. bz#2205

   ssh(1): 正規化が無効な場合に必要がないホスト名の検索を回避する.
   bz#2205

 * sshd(8): avoid sandbox violation crashes in GSSAPI code by caching
   the supported list of GSSAPI mechanism OIDs before entering the
   sandbox. bz#2107

   sshd(8): サポートしている GSSAPI メカニズムの OID のリストを
   サンドボックスに入る前にキャッシュすることによる
   GSSAPI コードでのサンドボックス違反のクラッシュを回避する.

 * ssh(1): fix possible crashes in SOCKS4 parsing caused by assumption
   that the SOCKS username is nul-terminated.

   ssh(1): SOCKS のユーザ名が nul で終端されていることを仮定している
   ために起こる SOCK4 のパースで発生する可能性のあるクラッシュを修正する.

 * ssh(1): fix regression for UsePrivilegedPort=yes when BindAddress is
   not specified.

   ssh(1): BindAddress が指定されていない場合の UsePrivilegedPort=yes の
   不具合を修正する.

 * ssh(1), sshd(8): fix memory leak in ECDSA signature verification.

   ssh(1), sshd(8): ECDSA 署名検証でのメモリリークを修正する.

 * ssh(1): fix matching of 'Host' directives in ssh_config(5) files
   to be case-sensitive again (regression in 6.5).

   ssh(1): ssh_config(5) ファイルでの 'Host' 設定項目のマッチを
   大文字小文字を区別するように再び修正する(6.5 での不具合).

Portable OpenSSH:

移植版 OpenSSH:

 * sshd(8): don't fatal if the FreeBSD Capsicum is offered by the
   system headers and libc but is not supported by the kernel.

   sshd(8): FreeBSD Capsicum がシステムのヘッダと libc で提供されていて
   kernel でサポートされていない場合に 致命的エラーにならないようにする.

 * Fix build using the HP-UX compiler.

   HP-UX コンパイラを用いた場合のビルドを修正する.

OpenSSH 6.6 リリース準備中 Call for testing: OpenSSH-6.6

OpenSSH 6.6 がリリース準備中です.

変更点を適当に訳しました.

2014/03/16追記: OpenSSH 6.6 がリリースされました. 春山 征吾のくけー : OpenSSH 6.6/6.6p1 がリリースされました. - livedoor Blog(ブログ). リリースノートでは, Security についての変更点が追加されています.

Changes since OpenSSH 6.5
=========================

OpenSSH 6.5 からの変更点

This is primarily a bugfix release.

主としてバグ修正のリリース.

New / changed features:

新しい / 変更された特徴:

 * ssh(1), sshd(8): this release removes the J-PAKE authentication code.
   This code was experimental, never enabled and had been unmaintained
   for some time.

   ssh(1), sshd(8): このリリースで J-PAKE 認証コードを削除する.
   このコードは実験的でかつけっして有効になることはなく,
   しばらくの間管理されてなかった.

   訳注: この機能について CVE-2014-1692
   https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1692
   が出たが, configure で有効にするできないくらいの
   実験的なコードなので, 面倒がないように消すということだと思われる)

 * ssh(1): when processing Match blocks, skip 'exec' clauses other clauses
   predicates failed to match.

   ssh(1): Match ブロックを処理する場合に, 他の節の述語がマッチに失敗したら
   'exec' 節をスキップする. (訳注: other の前に if が抜けていると思われる)

 * ssh(1): if hostname canonicalisation is enabled and results in the
   destination hostname being changed, then re-parse ssh_config(5) files
   using the new destination hostname. This gives 'Host' and 'Match'
   directives that use the expanded hostname a chance to be applied.

   ssh(1): ホスト名の正規化が有効で接続先ホスト名が結果として変わる場合,
   新しい接続先ホスト名を使って ssh_config(5) ファイルを再度パースする.
   これにより, 正規化されたホスト名を用いている 'Host' と 'Match' 設定項目が
   適用されるようになる.

Bugfixes:

バグ修正:

 * ssh(1): avoid spurious "getsockname failed: Bad file descriptor" in
   ssh -W. bz#2200, debian#738692

   ssh(1): ssh -W での誤った "getsockname failed: Bad file descriptor"
   を回避する. bz#2200, debian#738692

 * sshd(8): allow the shutdown(2) syscall in seccomp-bpf and systrace
   sandbox modes, as it is reachable if the connection is terminated
   during the pre-auth phase.

   sshd(8): seccomp-bpf と systrace サンドボックスモードで shutdown(2)
   システムコールを許可する. 認証前のフェイズで接続が終了した場合に,
   このシステムコールが呼ばれることがあるので.

 * ssh(1), sshd(8): fix unsigned overflow that in SSH protocol 1 bignum
   parsing. Minimum key length checks render this bug unexploitable to
   compromise SSH 1 sessions.

   ssh(1), sshd(8): SSH プロトコル 1 の bignum のパース時の
   符号無し整数のオーバフローを修正する. 最小の鍵長のチェックにより
   このバグを使って SSH 1 のセッションを侵害するのに利用できない.

 * sshd_config(5): clarify behaviour of a keyword that appears in
   multiple matching Match blocks. bz#2184

   sshd_config(5): 複数マッチする Match ブロックがある キーワードの
   振舞いを明確にする. bz#2184

 * ssh(1): avoid unnecessary hostname lookups when canonicalisation is
   disabled. bz#2205

   ssh(1): 正規化が無効な場合に必要がないホスト名の検索を回避する.
   bz#2205

 * sshd(8): avoid sandbox violation crashes in GSSAPI code by caching
   the supported list of GSSAPI mechanism OIDs before entering the
   sandbox. bz#2107

   sshd(8): サポートしている GSSAPI メカニズムの OID のリストを
   サンドボックスに入る前にキャッシュすることによる
   GSSAPI コードでのサンドボックス違反のクラッシュを回避する.

 * ssh(1): fix possible crashes in SOCKS4 parsing caused by assumption
   that the SOCKS username is nul-terminated.

   ssh(1): SOCKS のユーザ名が nul で終端されていることを仮定している
   ために起こる SOCK4 のパースで発生する可能性のあるクラッシュを修正する.

 * ssh(1): fix regression for UsePrivilegedPort=yes when BindAddress is
   not specified.

   ssh(1): BindAddress が指定されていない場合の UsePrivilegedPort=yes の
   不具合を修正する.

 * ssh(1), sshd(8): fix memory leak in ECDSA signature verification.

   ssh(1), sshd(8): ECDSA 署名検証でのメモリリークを修正する.

 * ssh(1): fix matching of 'Host' directives in ssh_config(5) files
   to be case-sensitive again (regression in 6.5).

   ssh(1): ssh_config(5) ファイルでの 'Host' 設定項目のマッチを
   大文字小文字を区別するように再び修正する(6.5 での不具合).

Portable OpenSSH:

移植版 OpenSSH:

 * sshd(8): don't fatal if the FreeBSD Capsicum is offered by the
   system headers and libc but is not supported by the kernel.

   sshd(8): FreeBSD Capsicum がシステムのヘッダと libc で提供されていて
   kernel でサポートされていない場合に 致命的エラーにならないようにする.

 * Fix build using the HP-UX compiler.

   HP-UX コンパイラを用いた場合のビルドを修正する.

OpenSSH 6.5 リリース準備中 Call for testing: OpenSSH-6.5

OpenSSH 6.5 がリリース準備中です.

変更点を適当に訳しました.

以下は, リリース準備中のものです.

春山 征吾のくけー : OpenSSH 6.5/6.5p1 がリリースされました. - livedoor Blog(ブログ) で リリース時のものを掲載しました.

Changes since OpenSSH 6.4
=========================
OpenSSH 6.4 からの変更点

This is a feature-focused release.

機能に焦点を当てたリリースだ.

New features:

新機能:

 * ssh(1), sshd(8): Add support for key exchange using elliptic-curve
   Diffie Hellman in Daniel Bernstein's Curve25519. This key exchange
   method is the default when both the client and server support it.

   ssh(1), sshd(8): Daniel Bernstein の Curve25519 による
   楕円曲線 Diffee Hellman を用いた鍵交換のサポートを加える.

 * ssh(1), sshd(8): Add support for Ed25519 as a public key type.
   Ed25519 is a elliptic curve signature scheme that offers
   better security than ECDSA and DSA and good performance. It may be
   used for both user and host keys.

   ssh(1), sshd(8): 公開鍵のタイプとして Ed25519 のサポートを加える.
   Ed25519 は 楕円曲線の署名方式で, ECDSA と DSA よりもよいセキュリティを
   提供する. またパフォーマンスもよい. ユーザ鍵にもホスト鍵にも利用できる.

 * Add a new private key format that uses a bcrypt KDF to better
   protect keys at rest. This format is used unconditionally for
   Ed25519 keys, but may be requested when generating or saving
   existing keys of other types via the -o ssh-keygen(1) option.
   We intend to make the new format the default in the near future.
   Details of the new format are in the PROTOCOL.key file.

   (オフライン攻撃から)鍵をよりよく保護するために bcrypt KDF を用いる
   新しい鍵フォーマットを加える. この形式は無条件に Ed25519 鍵に用いられる.
   ただし, ssh-keygen(1) の -o オプションによって, 鍵の生成時や
   他のタイプの既存の鍵の保存で要求できる. 近い将来この新しい形式を
   デフォルトにするつもりだ. 新しいフォーマットの詳細は,
   PROTOCOL.key ファイルにある.

 * ssh(1), sshd(8): Add a new transport cipher
   "chacha20-poly1305@openssh.com" that combines Daniel Bernstein's
   ChaCha20 stream cipher and Poly1305 MAC to build an authenticated
   encryption mode. Details are in the PROTOCOL.chacha20poly1305 file.

   ssh(1), sshd(8): 新しいトランスポート暗号 "chacha20-poly1305@openssh.com"
   を加える.  認証された暗号モードを作成するために Daniel Bernstein の
   ChaCha20 ストリーム暗号とPoly1305 MAC を組合せたものだ.
   詳細は PROTOCOL.chacha20poly1305 ファイルにある.

 * ssh(1), sshd(8): Refuse RSA keys from old proprietary clients and
   servers that use the obsolete RSA+MD5 signature scheme. It will
   still be possible to connect with these clients/servers but only
   DSA keys will be accepted, and OpenSSH will refuse connection
   entirely in a future release.

   ssh(1), sshd(8): 時代遅れの RSA+MD5 署名方式を用いる古い
   プロプリエタリなクライアントとサーバからの RSA 鍵を拒否する.
   これらのクライアント/サーバとの接続はまだ可能だが, DSA 鍵のみが
   受けつけられる. また, OpenSSH は近い将来接続を完全に拒否するだろう.

 * ssh(1), sshd(8): Refuse old proprietary clients and servers that
   use a weaker key exchange hash calculation.

   ssh(1), sshd(8): より弱い鍵交換ハッシュ計算をする古いプロプリエタリ
   なクライアントとサーバを拒否する.

 * ssh(1): Increase the size of the Diffie-Hellman groups requested
   for each symmetric key size. New values from NIST Special
   Publication 800-57 with the upper limit specified by RFC4419

   ssh(1): それぞれの対称鍵のサイズのために求められる
   複数の Diffee-Hellman 群のサイズを増やす.
   新しい値は NIST Special Publication 800-57 からの もので,
   RFC4419 で指定された上限がある.

 * ssh(1), ssh-agent(1): Support pkcs#11 tokes that only provide
   X.509 certs instead of raw public keys (requested as bz#1908).

   ssh(1), ssh-agent(1): 生の公開鍵の代わりに X.509 証明書を提供する
   場合にのみ pkcs#11 をサポートする (bz#1908 で依頼された).

 * ssh(1): Add a ssh_config(5) "Match" keyword that allows
   conditional configuration to be applied by matching on hostname,
   user and result of arbitrary commands.

   ssh(1): ssh_config(5) の "Match" キーワードで, ホスト名やユーザ
   任意のコマンドの結果のマッチによって適用される条件付き設定が
   可能になる.

 * ssh(1): Add support for client-side hostname canonicalisation
   using a set of DNS suffixes and rules in ssh_config(5). This
   allows unqualified names to be canonicalised to fully-qualified
   domain names to eliminate ambiguity when looking up keys in
   known_hosts or checking host certificate names.

   ssh(1): ssh_config(5) の DNS 拡張子の集合とルールを用いた
   クライアントサイドのホスト名正規化のサポートを加える.
   修飾されていない名前を 完全修飾パス名(FQDN)に正規化することで,
   known_hosts 中の鍵を検索する場合やホストの証明書名をチェックする際の
   あいまいさを除去する.

 * sftp-server(8): Add the ability to whitelist and/or blacklist sftp
   protocol requests by name.

   sftp-server(8): sftp プロトコル要求を名前でホワイトリスト化
   かつ/ないし ブラックリスト化する機能を加える.

 * sftp-server(8): Add a sftp "fsync@openssh.com" to support calling
   fsync(2) on an open file handle.

   sftp-server(8): open中のファイルハンドルに fsync(2) を呼び出すのを
   サポートする sftp の "fsync@openssh.com" を加える.

 * sshd(8): Add a ssh_config(5) PermitTTY to disallow TTY allocation,
   mirroring the longstanding no-pty authorized_keys option.

   sshd(8): TY の割り当てを 却下する PermitTTY を ssh_config(5) に 加える.
   昔からある no-pty authorized_keys のオプションの代わりになる.

 * ssh(1): Add a ssh_config ProxyUseFDPass option that supports the
   use of ProxyCommands that establish a connection and then pass a
   connected file descriptor back to ssh(1). This allows the
   ProxyCommand to exit rather than staying around to transfer data.

   ssh(1): ssh_config に ProxyUseFDPass 設定項目を加える.
   接続を確率し接続されたファイルデスクリプタを ssh(1) に戻す
   ProxyCommand の利用をサポートする.
   ProxyCommand が終了しても データの転送をし続けることが可能になる.

Bugfixes:

バグ修正:

 * ssh(1), sshd(8): Fix potential stack exhaustion caused by nested
   certificates.

   ssh(1), sshd(8): ネストされた証明書による 潜在的なスタック枯渇を
   修正.

 * ssh(1): bz#1211: make BindAddress work with UsePrivilegedPort.

   ssh(1): bz#1211: BindAddress が UsePrivilegedPort と共に動くようにする.

 * sftp(1): bz#2137: fix the progress meter for resumed transfer.

   sftp(1): bz#2137: 中断された転送でのプログレスメータを修正.

 * ssh-add(1): bz#2187: do not request smartcard PIN when removing
   keys from ssh-agent.

   ssh-add(1): bz#2187: ssh-agent から鍵を削除する際に スマートカードの
   PIN を要求しない.

 * sshd(8): bz#2139: fix re-exec fallback when original sshd binary
   cannot be executed.

   sshd(8): bz#2139: オリジナルの sshd バイナリが実行できない場合に
   再実行のフォールバックを修正.

 * ssh-keygen(1): Make relative-specified certificate expiry times
   relative to current time and not the validity start time.

   ssh-keygen(1): 相対指定された証明書の有効期限を 妥当性検証の開始時間
   ではなく 現在時刻に対応させる.

 * sshd(8): bz#2161: fix AuthorizedKeysCommand inside a Match block.

   sshd(8): bz#2161: Match ブロック中の AuthorizedKeysCommand を修正.

 * sftp(1): bz#2129: symlinking a file would incorrectly canonicalise
   the target path.

   sftp(1): bz#2129: ファイルのシンボリックリックが
   ターゲットパスの間違って正規化する.

 * ssh-agent(1): bz#2175: fix a use-after-free in the PKCS#11 agent
   helper executable.

   ssh-agent(1): bz#2175: PKCS#11 エージェントヘルパの実行での
   free後の利用を修正.

 * sshd(8): Improve logging of sessions to include the user name,
   remote host and port, the session type (shell, command, etc.) and
   allocated TTY (if any).

   sshd(8): ユーザ名やリモートホスト/ポート, セッションの種類
   (シェル, コマンド など), 割り当てられた TTY(あれば)を含む
   セッションのログ取得を改善する.

 * sshd(8): bz#1297: tell the client (via a debug message) when
   their preferred listen address has been overridden by the
   server's GatewayPorts setting.

   sshd(8): bz#1297: サーバの GatewayPorts の設定によって
   クライアントが好む listen アドレスが上書きされた場合に
   (デバッグメッセージで) クライアントに通知する.

 * sshd(8): bz#2162: include report port in bad protocol banner
   message.

   sshd(8): bz#2162: 不正なプロトコルバナーメッセージ中で
   ポートを報告するようにする.

 * sftp(1): bz#2163: fix memory leak in error path in do_readdir()

   sftp(1): bz#2163: do_readdir() でのエラーパスのメモリリークを修正.

 * sftp(1): bz#2171: don't leak file descriptor on error.

   sftp(1): bz#2171: エラー時にファイルデスクリプタをリークしない.

 * sshd(8): Include the local address and port in "Connection from
   ..." message (only shown at loglevel>=verbose)

   sshd(8): "Connection from .." メッセージで ローカルアドレスとポートも
   含める(loglevel>=verbose のときのみ表示)

Portable OpenSSH:

移植版 OpenSSH:

 * Switch to a ChaCha20-based arc4random() PRNG for platforms that do
   not provide their own.

   PRNG を提供しないプラットホームで ChaCha20 ベースの arc4random() PRNG
   に切り替える.

 * sshd(8): bz#2156: restore Linux oom_adj setting when handling
   SIGHUP to maintain behaviour over retart.

   sshd(8): bz#2156: リスタート時に振舞いを保持するために
   SIGHUP の処理時に Linux の oom_adj 設定を復元する.

 * sshd(8): bz#2032: use local username in krb5_kuserok check rather
   than full client name which may be of form user@REALM.

   sshd(8): bz#2032: krb5_kuserok で user@REALM のような形式の完全な
   クライアント名ではなくローカルのユーザ名を用いる.

 * ssh(1), sshd(8): Test for both the presence of ECC NID numbers in
   OpenSSL and that they actually work. Fedora (at least) has
   NID_secp521r1 that doesn't work.

   ssh(1), sshd(8): OpenSSH の ECC NID ナンバーの存在とそれが実際に
   機能するかをテストする: (少なくとも) Fedora に動作しない
   NID_secp521r1 がある.

 * bz#2173: use pkg-config --libs to include correct -L location for
   libedit.

   bz#2173: libedit について 正しい -L の場所を含めるために pkg-config --libs
   を用いる.

OpenSSH 5.1/5.1p1 リリース

OpenSSH 4.9/4.9p1 リリース

QRコード
QRコード
  • ライブドアブログ